Всякому, кто мало-мальски знаком с этими творениями рук человеческих, трудно отделаться от мысли, что компьютерные вирусы — это не просто небольшие программы, а самые настоящие живые существа, которые ничем не отличаются от своих более материальных собратьев, ведущих непрерывную войну с человечеством. Да и как можно думать иначе, если эти программы способны самостоятельно перемещаться, маскироваться, размножаться и, наконец, наносить сокрушительные удары, невзирая на государственные границы и географические расстояния, оставаясь при этом невидимыми для человека.
SCA: первый вирус для Commodore Amiga
Something wonderful has happened
Your AMIGA is alive!!!
and, even better…
Some of your disks are infected by a VIRUS!!!
Another masterpiece of The Mega-Mighty SCA !!
Демонстрация работы вируса
ZX Spectrum
Шуточное изображение вируса на ZX Spectrum
Справедливости ради, отметим: особого распространения вирусное ПО для Спектрума не получило ввиду особенностей работы компьютера с файлами и отсутствия полноценной операционной системы (TR-DOS таковой считать нельзя).
SCA: первый вирус для Commodore Amiga
Something wonderful has happened
Your AMIGA is alive!!!
and, even better…
Some of your disks are infected by a VIRUS!!!
Another masterpiece of The Mega-Mighty SCA !!
Демонстрация работы вируса
ZX Spectrum
Шуточное изображение вируса на ZX Spectrum
Справедливости ради, отметим: особого распространения вирусное ПО для Спектрума не получило ввиду особенностей работы компьютера с файлами и отсутствия полноценной операционной системы (TR-DOS таковой считать нельзя).
- Статья «Занимательная вирусология» о механизмах работы вирусов на Спектруме.
Первые вирусы для Atari ST
Компьютерные вирусы уже без малого полвека терроризируют всех пользователей ПК — от офисных работников до чиновников и директоров международных компаний. Среди вирусов попадаются как страшные шифровальщики, так и безобидные «овечки» вроде USBToy, демонстрирующего цитаты из Библии при запуске Windows. Что уж говорить о рекламном, майнинговом и прочем нежелательном ПО, которое может быть прицеплено ушлым распространителем к полезному приложению.
Тем не менее, даже компьютерные вирусы когда-то были совсем маленькими, простыми и беззлобными, а их создатели преследовали немного иные цели. В этой статье мы расскажем о «нежелательных» программах для персональных компьютеров конца прошлого века — Commodore Amiga, ZX Spectrum и Atari ST. Полноценными вирусами назвать их рука не поднимается: и способы распространения были достаточно примитивны, и «размножались» они очень неэффективно. Какие-то из них и вовсе канули в лету: ни названий, ни имен разработчиков, только воспоминания «пострадавших». Тем не менее, кое-какую интересную информацию нам раздобыть удалось!
Евгений Голомолзин, вступление к статье «Вирусы на IBM PC & ZX-SPECTRUM-е», 1997
Как известно, большая часть «народных» компьютеров Amiga (модели 500 и 500+ в частности) не имела жесткого диска. Единственным ПЗУ являлась микросхема, содержащая в себе часть операционной системы компьютера, Kickstart. Предполагалось, что вторая «половина» AmigaOS, Workbench, будет загружена пользователем с дискеты. А игры и некоторый наиболее тяжеловесный софт и вовсе миновали запуск операционной системы и загружались с носителя напрямую. Соответственно, и «выходить» после игры было некуда: чтобы запустить другое приложение, требовалось перезагрузить компьютер кнопкой на блоке питания и вставить новую дискету. Таким образом, вирус мог храниться либо на дискете, либо в RAM включенного компьютера.
В ноябре 1987 года команда Swiss Cracking Association, «специализировавшаяся» на снятии защиты с лицензионного ПО, выпустила первый в мире вирус для Amiga. Вредоносный код, изначально находящийся в загрузочном секторе дискеты, загружался в оперативную память и прописывал свое тело в boot-сектора всех незащищенных от записи дисков, которые пользователь вводил в компьютер.
Проявлялся вирус в виде следующей надписи на экране:
При этом «вирусный текст» выводился не при каждой загрузке с пораженной дискеты, а только 1 раз в 15 «теплых» перезапусков компьютера. Благодаря этому «инкубационному периоду» вероятность заражения нового устройства многократно возрастала.
Несмотря на свою кажущуюся безобидность, вирус мог нанести реальный вред программам, дискеты с которыми имели собственные загрузчики. Переписывая себя на новый диск, вирус нарушал код boot-loader’а, вследствие чего программа переставала запускаться.
Удалить вирус было достаточно просто: в случае с дисками, содержащими только файлы, требовалось дать команду «install», после чего boot-сектор полностью перезаписывался. Игру или программу «вылечить» было уже несколько сложнее: требовалось найти точно такой же, но «здоровый» диск и переписать содержимое его загрузочного сектора на зараженный.
Крайне примечателен еще один факт: ASC был не просто вирусом, а вирусом-самоубийцей: разработчики «позаботились» о своих жертвах и вшили в программу функцию деактивации. Чтобы удалить вирус из памяти, нужно было удерживать кнопку fire 1 устройства, подключенного в первый порт, во время перезагрузки. То есть, либо «огонь» на джойстике, либо левую кнопку мыши.
Для борьбы с вирусом SCA существовала и специальная программа, созданная программистом под ником Saturnus The Invincible. Ниже вы можете ознакомиться с демонстрацией её интерфейса.
А по этой ссылке находится небольшая статья из журнала «Déjà vu» 1997 года. Обеспокоенный вирусной угрозой автор рассказывает читателям о работе с популярными антивирусными программами.
Самые пытливые читатели могут даже ознакомиться на сайте SCA с исходным кодом вируса и некоторыми документами, касающимися его авторов.
Видео не для слабонервных: Master Virus Killer расправляется с SCA
Словосочетание «вирус для Спектрума» звучит достаточно забавно. Если вдуматься, так оно и есть: кому могло понадобиться писать вредоносные программы для этого малыша с 16-128 Кб оперативной памяти и магнитофоном подмышкой? Тем не менее, умельцы находились.
Итак, как именно можно напакостить владельцу Спектрума или его клона? Например, можно испортить ценный диск. С этой задачей прекрасно справлялись программы класса DZU, так называемые «Диско-Запарывательные утилиты». Изобретение этого термина (а заодно и первой программы такого рода) по некоторым данным принадлежит Станиславу Новикову.
Суть DZU сводилась к следующему: вирус маскировался под демо, во время просмотра которого «побочный» код портил дискету, находящуюся в приводе: затирал нулевую дорожку, удалял файлы или физически повреждал диск и приводил его в неработоспособное состояние.
Примечателен тот факт, что негативные последствия работы некоторых DZU могли быть «вылечены» анти-DZU программой от того же автора. Все-таки, несмотря на токсичность отдельных индивидов, программисты Спектрума в СССР и СНГ были людьми адекватными, а «вирусное» ПО чаще всего создавали не во вред пользователям, а в качестве эксперимента или в шутку.
Посмотреть на пример DZU можно здесь (генератор демок с крестом, жестокий к диску). Рекомендуем не использовать для просмотра демо реальные дискеты и машины, если у вас таковые все еще имеются, а ограничиться эмуляцией в Unreal Speccy.
Еще один класс вирусов, куда более безобидный, деструктивных действий не производил, но «прописывался» к найденным на дискете загрузчикам на basic’е, увеличивая их объем. Достоверно известно о двух подобных вирусах: Red October и Berezka. В условиях постоянной экономии памяти даже незначительное увеличение объема программ существенно раздражало спектрумистов.
В завершение приведем скриншот-цитату пользователя Evgeny Muchkin с сайта zx-pk.ru. Он описывает работу еще одного примечательного вируса-трояна на Спектруме:
Чтобы не раздувать статью излишним количеством информации, дадим пару интересных ссылок для самых заинтересованных:
Самый первый вирус-червь Signum, в 1987 году написанный для Atari ST, в свои «лучшие дни» насчитывал до 1-1,5 млн зараженных компьютеров. Тем не менее, в 2020 году ни его копию для живого тестирования, ни подробное описание механизма работы найти не удалось. Известно только, что он, подобно множеству других вирусов, загружался в оперативную память компьютера и методично копировался на вводимые дискеты без защиты от записи.
В отличие от Signum, его более поздний собрат, Evilnick, или просто Evil оказался чуть более живуч. Сейчас уже нельзя точно сказать, кто был его автором, но все следы ведут в Великобританию, где его обнаружил некто Jeremy Hughes. Наибольшее распространение вирус получил в Скандинавии. Примечательной особенностью вируса был его способ маскировки: Evil мимикрировал под системный диск и оставался незамеченным даже для популярного Ultimate Virus Killer. Инкубационный период Evilnick длился достаточно долго: вирус никак не выдавал себя вплоть до заражения 100 дискет.
После создания 100-й копии себя запускалась включенная в вирус «полезная нагрузка», цвета на мониторе инвертировались. В тексте самого вируса можно было найти послание от разработчика: «EVIL! — A Gift from Old Nick».
Подводя итог, хочется отметить одну общую тенденцию, сохранявшуюся в разрозненном сообществе первых вирус-мейкеров. Многие из них склонны были полагать, что их программы подобны живым существам. Они способны размножаться, питаться мощностями компьютера, взаимодействовать с пользователем, хитрить, прятаться и погибать. Спустя десятки лет после написания этих вирусов трудно судить о настоящих мотивах их создателей. Кто-то хотел насолить коллегам, кто-то — остроумно пошутить. Для кого-то сам факт написания вируса был сродни интеллектуальному спорту.
Технологии не стоят на месте: совершенствуются методы защиты, усложняются операционные системы, увеличивается мощность железа, смещаются направления атак. На правах облачного провайдера сделаем небольшую ремарку на этот счет.
Как известно, порядка 80% угроз прекрасно чувствуют себя в виртуальных средах, ведь такая среда практически не создает помех для распространения вредоносного кода, появления вирусных эпидемий и любых других атак. Но антивирусное ПО умнеет вслед за вирусами, а иногда опережает их на пару шагов.
Сейчас есть два основных способа обеспечить безопасность в облаке с помощью специализированного антивирусного ПО: безагентская защита и защита с лёгким агентом. Безагентская защита на сегодняшний день возможна только на решениях VMware: на физическом сервере с ВМ разворачиваются две дополнительные: SVM (выделенное устройство безопасности) и NAB (сервер сетевой защиты). При реализации защиты с легким агентом на каждую виртуальную машину устанавливается легкий агент, который мониторит все происходящее внутри своей ВМ.
Это закономерно приводит нас к тому, каждый новый вирус, чтобы выжить, должен быть умнее, хитрее и приспособленнее, чем предыдущий. Так что — возможно, первые авторы вирусов не ошиблись. Им удалось выпустить в мир концепцию «живого» организма, способного к эволюции. Жаль только, что вместе с мозгами эти «страшилы» получили еще и зубы. В детстве они были такими милыми…
Комментариев нет:
Отправить комментарий